シンプル&高セキュリティ 俺的 iptables 設定


初心に返って、シンプルかつ、セキュリティを確保する事を念頭に、iptables 設定を見直してみました。
突っ込み大歓迎です。

########################################################
#ポリシー 原則全部拒否、最小限の通信許可
########################################################
 
#送受信転送を全て破棄。
*filter
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:FORWARD DROP [0:0]
 
# ループバックアドレス(自分)からの送受信を全て許可
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
 
# 外部NTPサーバーへの問い合わせを許可
-A INPUT -p udp --dport 123 -j ACCEPT
-A OUTPUT -p udp --sport 123 -j ACCEPT
 
# 外部DNSサーバーへの問い合わせを許可
-A INPUT -p udp --sport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT
 
# 外部Whoisサーバーへの問い合わせを許可
-A INPUT -p tcp --sport 43 -j ACCEPT
-A OUTPUT -p tcp --dport 43 -j ACCEPT
 
# サーバーから不特定ホストへのPING許可
-A OUTPUT -p icmp --icmp-type any -j ACCEPT
 
# 外部サーバーへのHTTP、HTTPS接続を許可
-A INPUT -p tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --sport 443 -j ACCEPT
-A OUTPUT -p tcp --dport 443 -j ACCEPT
 
# 接続済みパケットの送受信を許可
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
########################################################
# 公開サービスの接続設定
########################################################
 
# SSH 固定IPが無い場合は、全IPから接続許可。
-A INPUT -p tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -j ACCEPT
 
# もし自宅が固定IPなら以下、特定IPからのみ許可するべき。
#-A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT
#-A OUTPUT -d xxx.xxx.xxx.xxx -p tcp --sport 22 -j ACCEPT
 
# 以下、使用する場合は行頭の「#」を削除する。
 
# HTTP 全通信許可
#-A INPUT -p tcp --dport 80 -j ACCEPT
#-A OUTPUT -p tcp --sport 80 -j ACCEPT
 
# HTTPS 全通信許可
#-A INPUT -p tcp --dport 443 -j ACCEPT
#-A OUTPUT -p tcp --sport 443 -j ACCEPT
 
 
# Minecraft(マイクラ) 全通信許可(ポート開放)
#-A INPUT -p tcp --dport 25565 -j ACCEPT
#-A OUTPUT -p tcp --sport 25565 -j ACCEPT
 
 
COMMIT


Kenzi Tada について

カメラマンを本業と出来るよう鋭意努力中ですが、まだまだ力量が不足し、広告企画制作や技術者としての仕事をメインに、二足のわらじ、もとい四足ぐらいか(笑) 作品制作や撮影のお仕事にご協力頂ける被写体様(男女年齢問わず)、ヘアメイクアップアーティスト様を随時募集しております。ご興味が御座います方は是非、ご連絡下さい。